MSN最新变种病毒分析

MSN最新变种 nppsvc.exe

picture017.JPEG_www.facebook.com病毒分析

一、病毒相关分析： 
        病毒名称：Backdoor.Win32.IRCBot.bgh
        病毒别名：MSN蠕虫
        病毒类型：蠕虫
        危害级别：3
        感染平台：Windows
        病毒大小：83,456(字节)
        SHA1　　：18511d687a66a036abf6dc8e2b5fd0e95e4aeb13
        加壳类型：EXECryptor
        开发工具：VC
     病毒行为：
        1、复制自身为%System%\nppsvc.exe
        　 连接IRC服务pool.hybridtx.com接收下载恶意程序的链接。
        　 下载文件facebook*.zip到%Temp%目录　　　
        　 //压缩包中文件为picture0*.JPG_www.facebook.com，以上*为数字
        　 添加注册表项
        　 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        　 "Windows Audio Panel"="nppsvc.exe"
        2、下载恶意程序
        　 http://mashup.*****.kasserver.com/downloads/XpSo.exe
        　 http://www.*****.dk/includes/js/rs2.exe
        　 http://www.*****r.com/img/gen04.exe
        　 以上文件运行后还会释放文件：
        　 %System%\urqqoml.dll　　　38,400(字节)　　//此文件件名为随机七位字母组合
        　 该文件插入系统进程winlogon.exe
        　 %System%\hgdbb.dll　　　　334,336(字节)　 //此文件件名为随机五位字母组合
        　 其中文件XpSo.exe复制到%Temp%\14.exe并添加注册表项
        　 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        　 "NvGraphicsInterface"="C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\14.exe"
        3、读取链接下面链接指向的文件
        　 http://www.timbercreeksoftware.com/_vti/vti.txt
        　 文件内容如下：
        　 do I look ugly in this pic?
        　 checkout my new car!
        　 look at my ears here lol
        　 do you think this picture of me is ugly?
        　 Hey, is this your picture?
        　 look at my new jeans I just got
        　 you want my new picture? ;)
        　 this person just looks like you!
        　 this is getting selled in myspace check it out!
        　 I just made your face double check it out lol
        　 is it ok if I add this picture of us to my eblog?
        　 do you like this picture of us?
        　 this is a new pic of me accept it 
        　 This look good enough for my default?
        　 I want you to have this pic  u and me
        　 Damn I think this looks goood!
        　 This can't be you.... right?
        　 take a look at this pic... omg!!
        　 I got a very old picture of you.. check it 
        　 o_O this picture is amazing
        　 isn't this one of your friends?
        　 checkout my new picture
        　 Hey, want to see a picture of us? accept :)
        　 My new camara pic omg its nice!
        　 do you mind if I add this picture of us to my album?
        　 并根据在文件中随机选择语句发送给MSN好友，同时发送压缩包文件facebook*.zip 　//*为随机数字

二、解决方案
　　推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
　　　　超级巡警下载地址：http://www.dswlab.com/d1.html
三、安全建议
　　　　1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
　　　　2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。
　　　　3、使用超级巡警的补丁检查功能，及时安装系统补丁。
　　　　4、禁用或删除不必要的的帐号，对管理员帐号设置一个强壮的密码。
　　　　5、禁用不必要的服务。
　　　　6、及时更新常用软件，尤其是聊天工具。
　　　　7、不要随便打开不明来历的电子邮件，尤其是邮件附件。
　　　　8、不要随意下载不安全网站的文件并运行。
　　　　9、下载和新拷贝的文件要首先进行查毒。
　　　　10、不要轻易打开即时通讯工具中发来的链接或可执行文件。
　　　　11、使用移动存储介质进行数据访问时，先对其进行病毒检查，建议使用超级巡警U盘免疫器进行免疫。